Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Erstellen von Gruppen für einen S3-Mandanten

PDFs

Sie können Berechtigungen für S3-Benutzergruppen verwalten, indem Sie föderierte Gruppen importieren oder lokale Gruppen erstellen.

Bevor Sie beginnen

Greifen Sie auf den Assistenten „Gruppe erstellen“ zu

Rufen Sie als ersten Schritt den Assistenten „Gruppe erstellen“ auf.

Schritte

  1. Wählen Sie ZUGRIFFSVERWALTUNG > Gruppen.

  2. Wenn Ihr Mandantenkonto über die Berechtigung Grid-Föderationsverbindung verwenden verfügt, bestätigen Sie, dass ein blaues Banner angezeigt wird, das darauf hinweist, dass neue Gruppen, die in diesem Grid erstellt werden, in denselben Mandanten im anderen Grid in der Verbindung geklont werden. Wenn dieses Banner nicht angezeigt wird, sind Sie möglicherweise beim Zielraster des Mandanten angemeldet.

    Bild des blauen Banners auf der Gruppenseite des Mandantenquellenrasters

  3. Wählen Sie Gruppe erstellen.

Wählen Sie einen Gruppentyp

Sie können eine lokale Gruppe erstellen oder eine föderierte Gruppe importieren.

Schritte

  1. Wählen Sie die Registerkarte Lokale Gruppe, um eine lokale Gruppe zu erstellen, oder wählen Sie die Registerkarte Verbundgruppe, um eine Gruppe aus der zuvor konfigurierten Identitätsquelle zu importieren.

    Wenn Single Sign-On (SSO) für Ihr StorageGRID -System aktiviert ist, können sich Benutzer, die zu lokalen Gruppen gehören, nicht beim Tenant Manager anmelden, obwohl sie Clientanwendungen verwenden können, um die Ressourcen des Mandanten basierend auf Gruppenberechtigungen zu verwalten.

  2. Geben Sie den Namen der Gruppe ein.

    • Lokale Gruppe: Geben Sie sowohl einen Anzeigenamen als auch einen eindeutigen Namen ein. Sie können den Anzeigenamen später bearbeiten.

      Hinweis Wenn Ihr Mandantenkonto über die Berechtigung Grid-Föderationsverbindung verwenden verfügt, tritt ein Klonfehler auf, wenn derselbe eindeutige Name für den Mandanten im Zielgrid bereits vorhanden ist.

    • Föderierte Gruppe: Geben Sie den eindeutigen Namen ein. Für Active Directory ist der eindeutige Name der Name, der mit dem sAMAccountName Attribut. Bei OpenLDAP ist der eindeutige Name der Name, der mit dem uid Attribut.

  3. Wählen Sie Weiter.

Gruppenberechtigungen verwalten

Gruppenberechtigungen steuern, welche Aufgaben Benutzer im Tenant Manager und in der Tenant Management API ausführen können.

Schritte

  1. Wählen Sie für Zugriffsmodus eine der folgenden Optionen aus:

    • Lesen/Schreiben (Standard): Benutzer können sich beim Tenant Manager anmelden und die Tenant-Konfiguration verwalten.

    • Schreibgeschützt: Benutzer können Einstellungen und Funktionen nur anzeigen. Sie können im Tenant Manager oder in der Tenant Management API keine Änderungen vornehmen oder Vorgänge ausführen. Lokale Benutzer mit Leseberechtigung können ihre eigenen Passwörter ändern.

      Hinweis Wenn ein Benutzer mehreren Gruppen angehört und für eine der Gruppen der Lesezugriff aktiviert ist, hat der Benutzer nur Lesezugriff auf alle ausgewählten Einstellungen und Funktionen.

  2. Wählen Sie eine oder mehrere Berechtigungen für diese Gruppe aus.

    Sehen "Berechtigungen zur Mandantenverwaltung" .

  3. Wählen Sie Weiter.

S3-Gruppenrichtlinie festlegen

Die Gruppenrichtlinie bestimmt, welche S3-Zugriffsberechtigungen Benutzer haben.

Schritte

  1. Wählen Sie die Richtlinie aus, die Sie für diese Gruppe verwenden möchten.

    Gruppenrichtlinie Beschreibung

    Kein S3-Zugriff

    Standard. Benutzer in dieser Gruppe haben keinen Zugriff auf S3-Ressourcen, es sei denn, der Zugriff wird mit einer Bucket-Richtlinie gewährt. Wenn Sie diese Option auswählen, hat standardmäßig nur der Root-Benutzer Zugriff auf S3-Ressourcen.

    Nur-Lese-Zugriff

    Benutzer in dieser Gruppe haben schreibgeschützten Zugriff auf S3-Ressourcen. Beispielsweise können Benutzer dieser Gruppe Objekte auflisten und Objektdaten, Metadaten und Tags lesen. Wenn Sie diese Option auswählen, wird die JSON-Zeichenfolge für eine schreibgeschützte Gruppenrichtlinie im Textfeld angezeigt. Sie können diese Zeichenfolge nicht bearbeiten.

    Vollzugriff

    Benutzer in dieser Gruppe haben vollen Zugriff auf S3-Ressourcen, einschließlich Buckets. Wenn Sie diese Option auswählen, wird die JSON-Zeichenfolge für eine Gruppenrichtlinie mit vollem Zugriff im Textfeld angezeigt. Sie können diese Zeichenfolge nicht bearbeiten.

    Ransomware-Minderung

    Diese Beispielrichtlinie gilt für alle Buckets dieses Mandanten. Benutzer in dieser Gruppe können allgemeine Aktionen ausführen, aber keine Objekte dauerhaft aus Buckets löschen, für die die Objektversionierung aktiviert ist.

    Tenant Manager-Benutzer mit der Berechtigung Alle Buckets verwalten können diese Gruppenrichtlinie außer Kraft setzen. Beschränken Sie die Berechtigung „Alle Buckets verwalten“ auf vertrauenswürdige Benutzer und verwenden Sie, sofern verfügbar, die Multi-Faktor-Authentifizierung (MFA).

    Brauch

    Den Benutzern in der Gruppe werden die Berechtigungen erteilt, die Sie im Textfeld angeben.

  2. Wenn Sie Benutzerdefiniert ausgewählt haben, geben Sie die Gruppenrichtlinie ein. Jede Gruppenrichtlinie hat eine Größenbeschränkung von 5.120 Byte. Sie müssen eine gültige Zeichenfolge im JSON-Format eingeben.

    Ausführliche Informationen zu Gruppenrichtlinien, einschließlich Sprachsyntax und Beispielen, finden Sie unter"Beispiele für Gruppenrichtlinien" .

  3. Wenn Sie eine lokale Gruppe erstellen, wählen Sie Weiter. Wenn Sie eine föderierte Gruppe erstellen, wählen Sie Gruppe erstellen und Fertig.

Benutzer hinzufügen (nur lokale Gruppen)

Sie können die Gruppe speichern, ohne Benutzer hinzuzufügen, oder Sie können optional bereits vorhandene lokale Benutzer hinzufügen.

Hinweis Wenn Ihr Mandantenkonto über die Berechtigung Grid-Föderationsverbindung verwenden verfügt, werden alle Benutzer, die Sie beim Erstellen einer lokalen Gruppe im Quell-Grid auswählen, nicht einbezogen, wenn die Gruppe in das Ziel-Grid geklont wird. Wählen Sie aus diesem Grund beim Erstellen der Gruppe keine Benutzer aus. Wählen Sie stattdessen die Gruppe aus, wenn Sie die Benutzer erstellen.
Schritte

  1. Wählen Sie optional einen oder mehrere lokale Benutzer für diese Gruppe aus.

  2. Wählen Sie Gruppe erstellen und Fertig.

    Die von Ihnen erstellte Gruppe wird in der Gruppenliste angezeigt.

    Wenn Ihr Mandantenkonto über die Berechtigung Grid-Föderationsverbindung verwenden verfügt und Sie sich im Quell-Grid des Mandanten befinden, wird die neue Gruppe in das Ziel-Grid des Mandanten geklont. Erfolg wird als Klonstatus im Abschnitt „Übersicht“ der Detailseite der Gruppe angezeigt.